owasp mobile top 2016

OWASP Mobile Top 10 2016 List:

تغطي هذه الفئة سوء استخدام ميزة النظام الأساسي أو الفشل في استخدام عناصر تحكم أمان النظام الأساسي. قد يشمل أندرويد نوايا ، أذونات النظام الأساسي ، إساءة استخدام TouchId ، سلسلة المفاتيح ، أو بعض التحكم في الأمان الآخر الذي يعد جزءًا من نظام تشغيل الأجهزة المحمولة. هناك العديد من الطرق التي يمكن أن تواجهها تطبيقات الأجهزة المحمولة هذا الخطر.

هذه الفئة الجديدة هي مزيج من M2 + M4 من أفضل عشرة جوال 2014. وهذا يغطي تخزين البيانات غير الآمن وتسرب البيانات غير المقصود.

وهذا يغطي المصافحة السيئة ، وإصدارات SSL غير الصحيحة ، والتفاوض الضعيف ، والتواصل الواضح عن الأصول الحساسة ، إلخ.

تلتقط هذه الفئة مفاهيم مصادقة المستخدم النهائي أو إدارة الجلسة السيئة. هذا يمكن أن يشمل:

• الفشل في تحديد المستخدم على الإطلاق متى يجب أن يكون ذلك مطلوبًا
• الفشل في الحفاظ على هوية المستخدم عند الحاجة
• نقاط الضعف في إدارة الجلسة

يطبق الكود التشفير على أصل المعلومات الحساسة. ومع ذلك ، فإن التشفير غير كافية بطريقة ما. لاحظ أن أي شيء وكل شيء يتعلق بـ TLS أو SSL يذهب في M3. أيضًا ، إذا فشل التطبيق في استخدام التشفير على الإطلاق عندما ينبغي ، فمن المحتمل أن ينتمي إلى M2. هذه الفئة مخصصة للقضايا التي تمت فيها محاولة التشفير ، لكنها لم تتم بشكل صحيح.

هذه فئة لالتقاط أي إخفاقات في التفويض (على سبيل المثال ، قرارات التفويض في جانب العميل ، والتصفح القسري ، وما إلى ذلك). إنه متميز عن مشكلات المصادقة (على سبيل المثال ، تسجيل الجهاز ، هوية المستخدم ، إلخ).

إذا كان التطبيق لا يصدق المستخدمين على الإطلاق في موقف يجب فيه (على سبيل المثال ، منح الوصول المجهول إلى بعض الموارد أو الخدمة عند الحاجة إلى الوصول إلى المصادقة والمصرح بها) ، فهذا فشل المصادقة وليس فشل إذن.

كانت هذه "القرارات الأمنية عبر مدخلات غير موثوق بها" ، وهي إحدى فئاتنا الأقل استخدامًا. سيكون هذا هو الجهد لمشاكل التنفيذ على مستوى الرمز في عميل الهاتف المحمول. هذا مختلف عن أخطاء الترميز من جانب الخادم. هذا من شأنه أن يلتقط أشياء مثل الفائض المخزن المؤقت ، ونقاط الضعف في سلسلة التنسيق ، والعديد من الأخطاء الأخرى على مستوى الرموز حيث يكون الحل هو إعادة كتابة بعض التعليمات البرمجية التي تعمل على الجهاز المحمول.

تغطي هذه الفئة الترقيع الثنائي ، وتعديل الموارد المحلية ، وتثبيت الطريقة ، والطريقة swizzling ، وتعديل الذاكرة الديناميكية.

بمجرد تسليم التطبيق إلى الجهاز المحمول ، يتم تقييد الكود وموارد البيانات هناك. يمكن للمهاجم إما تعديل الكود مباشرة أو تغيير محتويات الذاكرة ديناميكيًا أو تغيير أو استبدال واجهات برمجة تطبيقات النظام التي يستخدمها التطبيق أو تعديل بيانات التطبيق وموارده. يمكن أن يوفر هذا للمهاجم طريقة مباشرة لتخريب الاستخدام المقصود للبرنامج لتحقيق مكاسب شخصية أو نقدية.

تتضمن هذه الفئة تحليلًا للثنائي الأساسي النهائي لتحديد رمز المصدر والمكتبات والخوارزميات والأصول الأخرى. يمنح البرامج مثل IDA Pro و Hopper و Otool وأدوات التفتيش الثنائية الأخرى المباراة المهاجمة في الأعمال الداخلية للتطبيق. يمكن استخدام هذا لاستغلال نقاط الضعف الوليدة الأخرى في التطبيق ، وكذلك الكشف عن معلومات حول خوادم النهاية الخلفية ، والثوابت التشفير والأصفار ، والملكية الفكرية.

في كثير من الأحيان ، يتضمن المطورون وظائف Backdoor المخفية أو غيرها من أدوات التحكم في الأمن التنمية الداخلية التي لا تهدف إلى إطلاقها في بيئة إنتاج. على سبيل المثال ، قد يتضمن المطور بطريق الخطأ كلمة مرور كتعليق في تطبيق هجين. مثال آخر يتضمن تعطيل المصادقة 2 عامل أثناء الاختبار.